Sicurezza dell'applicazione Web

3

Sono uno sviluppatore di app Web e recentemente una delle mie app è stata compromessa. Volevo sapere quali sono i possibili tipi di attacchi fatti sull'applicazione web (in dettaglio) e i metodi su come prevenirli.

Che cosa ho provato? :

Conosco molti attacchi e amp; fai del mio meglio per proteggere le app da quelle. Attualmente utilizzo questo mio riferimento per la sicurezza durante lo sviluppo di app web.

Qualcuno può consigliare altri collegamenti migliori con spiegazioni dettagliate sulla sicurezza delle app Web.

    
posta gopi1410 26.06.2012 - 22:18
fonte

2 risposte

5

Ok, beh ci sono tonnellate di materiale su Owasp quindi ti incoraggio vivamente a esplorare di più il loro sito. Forse uno dei loro capitoli è vicino a te, potresti partecipare a uno di loro mentre sono liberi.

Ecco alcuni thread interessanti di questo forum che contengono tonnellate di informazioni -

Prenderò in considerazione l'idea di installare cose come applicazioni web vulnerabili come Webgoat e DVWA per imparare da loro.

Ci sono un sacco di informazioni e cheatsheet eccellenti qui ma purtroppo RSnake non pubblica più.

Sans ha anche un blog appec qui .

Infine, e non per questo meno importante, darei un'occhiata lunga al materiale per lo sviluppo sicuro di @securityninja.

Questo dovrebbe essere sufficiente per iniziare.

    
risposta data 26.06.2012 - 23:18
fonte
0

La sicurezza delle app Web è un'area enorme. Esistono centinaia di possibilità e strumenti per hackerare un'applicazione web. Dato che sei uno sviluppatore, questa è la rapida classificazione di alto livello dei problemi.

  • Difetti nella progettazione e nel funzionamento delle cornici web - Questa è la mia preferita, la maggior parte dei problemi relativi alle app Web che ho scoperto derivano da questo unico motivo, questi sono specifici dell'app Web. Ognuno di questi problemi può essere unico e applicabile solo a questa unica app. Solo uno scarso design di un'applicazione può causare problemi minori come questi che hanno conseguenze maggiori - perdita di dati, configurazioni e struttura web inadeguate, controllo degli accessi e responsabilità inadeguati - accesso non autorizzato / illimitato attraverso l'app web attraverso vari dati, divulgazione di informazioni di sistema per l'enumerazione , contenuto non protetto e accesso cross-domain al sistema, attività dell'utente e enumerazione del flusso di lavoro / processo, scarsa sicurezza sui servizi web - wsdl / soap, difetti nella sessione e amp; richiede la gestione, overflow dei parametri che causano l'esecuzione di DoS o codice remoto. Questi potrebbero sembrare articoli a basso rischio ma possono condurre da uno all'altro e possibilmente offrire un hack facile che non richiede alcuno sfruttamento intelligente.

  • Iniezioni - I database back-end SQL, LDAP, ecc. richiedono query per leggere / scrivere dati e determinati parametri di queste query (anche un'intera query) possono contenere input malevoli diretti dell'utente. modo semplice per fermare questo è input validation . Ci sono molte risorse di studio su questo.

  • Manomissione / modifica di parametri e richieste - XSS, CSRF, riutilizzo / hijack di sessione ecc. sono fondamentalmente utenti malintenzionati che forniscono un input inatteso. Validate every input, every thing per evitare facilmente questo.

  • Problemi del server Web: si trova sul sistema che esegue l'app Web, eventuali miss-configuration e flussi nel processo del server Web possono causare un buffer overflow, DoS ecc.

risposta data 27.06.2012 - 10:04
fonte

Leggi altre domande sui tag